Niemcy już wiedzą jak lepiej dbać o dane - kiedy przyjdzie czas na Polskę?

Niemiecki Instytut Normalizacyjny opublikował normę DIN 66399, która określa wymogi stawiane na rynku niemieckim dla urządzeń i procesów mających zagwarantować bezpieczne niszczenie danych na różnego rodzaju nośnikach. Nowa norma odnosi się nie tylko do dokumentów papierowych, ale również do mechanicznego niszczenia nośników optycznych, kart magnetycznych, pamięci flash, taśm magnetycznych i dysków twardych.

Nowa niemiecka norma jest pierwszym tego typu rozwiązaniem na świecie. Poprzednia norma DIN 32757 odnosiła się wyłącznie do mechanicznego niszczenia dokumentów papierowych. Jednak szybki postęp technologiczny sprawia, że z roku na rok coraz mniej informacji jest przenoszonych na papier. Obecnie nawet 90% informacji przechowywanych jest wyłącznie w formie elektronicznej. Nowa niemiecka norma jest odpowiedzią na powszechną w firmach i instytucjach cyfryzację.

Wraz z rozwojem systemów zabezpieczania danych, rośnie również wiedza na temat łamania poszczególnych zabezpieczeń. Świadomość zagrożeń związanych z utratą danych elektronicznych oraz odpowiednia wiedza na temat zabezpieczeń może ustrzec przed dostaniem się danych w niepowołane ręce. W Polsce, zgodnie z ustawą o Ochronie Danych Osobowych z dnia 29.08.1997 (Dz. U. Nr 133, poz. 883), wszystkie firmy oraz instytucje, które przechowują w swojej bazie dane osobowe mają ustawowy obowiązek chronić je przed wyciekiem. Korzystają one m.in. z firewalli, programów antywirusowych i haseł zabezpieczających przed dostępem osób niepowołanych. Niepokojący jest natomiast powszechny brak wiedzy na temat konieczności ochrony informacji na nośnikach elektronicznych wycofywanych z użytkowania, które należy niszczyć w sposób uniemożliwiający ich odzyskanie. Niemiecka norma DIN 66399 jest bardzo ważnym krokiem w kierunku zmiany tej sytuacji.

Nowa norma określa wymogi stawiane urządzeniom i procesom mającym zagwarantować bezpieczne mechaniczne niszczenie danych papierowych oraz cyfrowych. Wprowadza dwie dodatkowe klasy tajności – H-4 (dane „wysoce wrażliwe”, klasa pośrednia między dotychczasowymi „poufnymi” i „tajnymi”) oraz H-7 (dane „ściśle tajne”, nakazująca dwukrotnie większe rozdrobnienie niż dotychczas na analogicznym poziomie). Łącznie norma mówi o siedmiu różnych poziomach tajności odnoszących się do dokumentów ogólnych, wewnętrznych, wrażliwych i osobistych, wysoce wrażliwych i osobistych, o fundamentalnej ważności dla instytucji oraz wymagających nadzwyczajnych zabezpieczeń ochronnych, a także ściśle tajnych. W zależności od statusu danych umieszczonych na danym nośniku mają one być poddawane rozdrabnianiu mechanicznemu na wiórki o określonej wielkości.

– To niezmiernie ważne, iż prawodawcy dostrzegają konieczność zmian w przepisach ze względu na rozwijającą się technologię. Coraz więcej danych przechowywanych jest w innej formie niż papierowa, a i one muszą zostać w pewnym momencie zniszczone. Niestety, nowa norma to nadal za mało, ponieważ odnosi się jedynie do mechanicznego niszczenia nośników, pomijając na przykład chemiczne, i nie uwzględnia możliwości technologicznych w zakresie odzyskiwania danych z rozdrobnionych wiórków, ale to bez wątpienia krok w dobrym kierunku – mówi Paweł Markowski, Prezes BOSSG Data Security.

Norma DIN 66399 powstawała przy współudziale firm produkujących niszczarki mechaniczne, stąd odnosi się jedynie do mechanicznego rozdrabniania nośników, zapominając o innych metodach. A niezmiernie ważne jest, by pamiętać, że nawet z najmniejszej powierzchni dysku twardego można odzyskać dane.

Najwyższa, 7 klasa tajności normy DIN 66399 nakazuje, by nośnik został rozdrobniony na wiórki o wielkości nie przekraczającej 5mm2. Jednak o ile na skrawku papieru o takiej wielkości zmieści się zaledwie kilka liter, to podobnych rozmiarów fragment talerza dysku twardego może mieścić nawet setki Megabajtów danych. W przypadku danych szczególnie wrażliwych może mieć to niezwykle duże znaczenie dla ich właściciela – czy to z sektora prywatnego, czy publicznego. Jest to bardzo istotna wada tej normy, która pomija w pełni skuteczną metodę chemicznego niszczenia dysków, zwłaszcza, że od kilku lat nowoczesne laboratoria są w stanie odzyskać dane z powierzchni znacznie mniejszej niż 1mm2.

Choć w Polsce nie obowiązuje jeszcze krajowy odpowiednik niemieckiej normy, to warto przypomnieć, że liczne przepisy polskiego prawa nakazują skuteczne niszczenie danych. Przykładowo Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 24 kwietnia 2004 r. określa już w podstawowych środkach bezpieczeństwa, że nośniki informacji mają być uszkodzone w sposób uniemożliwiający odczytanie zawartych na nich danych. Oznacza to, że wszelkie metody niszczenia danych, które pozostawiają możliwość ich odzyskania nie spełniają wymogów polskiego prawa.

- Niemcy znani są z porządku, ten porządek widać również w prawodawstwie i normach. Jego konsekwencją jest nowa norma DIN 66399. Mamy nadzieję, że również w Polsce odpowiednie instytucje dostrzegą potrzebę określenia standardów skutecznego usuwania danych i opracują w tym zakresie stosowną normę, która jeszcze bardziej uwzględni postęp technologiczny niż norma niemiecka. Jednak w tej chwili możemy jedynie powiedzieć, że Niemcy mają normy, ale to Polacy mają skuteczną technologię… – podsumowuje Paweł Markowski, Prezes BOSSG Data Security.

Realizacja: SIPLEX Studio